Bezpečnost bezdrátových sítí WiFi Milan Šimčík, IT specalista 10.6.2009

Agenda Úvod do bezdrátových sítí Vybrané základní pojmy v oblasti WiFi Hrozby a rizika které přináší WiFi Pravidla a mechanizmy zabezpečení WiFi sítě Architektura WiFi založená na platformě Cisco Koncept návrhu WiFi sítě Diskuse

Úvod do bezdrátových sítí WiFi IEEE 802.11 Vznik standardu přibližně v roce 1997. IEEE 802.11b Standard od roku 1999 2,4 GHz, 11 Mbps bitrate (cca 5Mbps propustnost) IEEE 802.11.a 5 GHz, 54 Mbps bitrate (cca 27Mbps propustnost) IEEE 802.11g Standard od roku 2003 2,4 GHz, 54 Mbps bitrate (cca 27Mbps propustnost) Změna modulace zpětně kompatibilní s 802.11b IEEE 802.11n Draft standardu (předpokládá se rok 2010) 2,4/5 GHz, 600 Mbps bitrate (cca 144Mbps propustnost) Další z rodiny standardu IEEE 802.11 802.11e – QoS, 802.11i – enhaced security, atd.

Agenda Úvod do bezdrátových sítí Vybrané základní pojmy v oblasti WiFi Hrozby a rizika které přináší WiFi Pravidla a mechanizmy zabezpečení WiFi sítě Architektura WiFi založená na platformě Cisco Koncept návrhu WiFi sítě Diskuse

Vybrané základní pojmy v oblasti WiFi Beacon Tímto mechanizmem dochází k inzerování přítomnosti bezdrátové sítě (adresovaná jako broadcast, název SSID, podporované rychlosti, typ zabezpečení apod.) Probe Mechanizmus klienta pro zjištění dostupné sítě (vyslání dotazu a odpovědi všech dosažitelných AP – pokud je to povoleno) Autentizace Způsob autentizace klientů WiFi. „Open“ nebo „shared“ WEP klíč. Vzhledem k bezpečnostním nedostatkům WEP (a tedy i způsobu autentizace již nepoužíván/nedoporučován) Asociace Navázaní „linky“ mezi AP a klientem

Vybrané základní pojmy v oblasti WiFi pokr. WPA (TKIP) Odstraňuje nedostatky předchozího standardu WEP TKIP zajištuje unikátní klíč pro každý paket Data jsou šifrována pomocí RC4 algoritmu WPA2 (AES) Využívá algoritmu AES v režimu CCMP V současnosti považován za standard (povinný pro WiFi certifikaci) Zatím nebyl nalezen způsob prolomení MFP – management frame protection Způsob zajištění integrity rámce WiFi sítě digitálním podpisem 802.1x Suplicant – SW klient bezdrátové sítě Autenticator (AP, centrální prvek WiFi apod.) Autentication server (AAA server) EAP – Extended Authentication protocol EAP-TLS, EAP-FAST, PEAP apod.

Agenda Úvod do bezdrátových sítí Vybrané základní pojmy v oblasti WiFi Hrozby a rizika které přináší WiFi Pravidla a mechanizmy zabezpečení WiFi sítě Architektura WiFi založená na platformě Cisco Koncept návrhu WiFi sítě Diskuse

Hrozby a rizika které přináší WiFi Neautorizavaný průnik do sítě Využití či zneužití zdrojů a prostředků sítě Kompromitace, narušení integrity dat apod. Obtížně kontrolovatelný dosah sítě ve srovnání s tradiční sítí Vnitřní prostory budovy Prostor mimo budovu či jinak vymezený prostor Rušení pásma 2,4 Ghz resp. 5 Ghz Rušení 802.11 zařízení Rušení non-802.11 zařízení Rušení radarů, budov a prostor se speciálním radiofrekvenčním režimem

Hrozby a rizika které přináší WiFi pokr. Co dělat v případě rušení? Všeobecné oprávnění č. VO-R/12/08.2005-34 k využívání rádiových kmitočtů a k provozování zařízení pro širokopásmový přenos dat na principu rozprostřeného spektra nebo OFDM v pásmech 2,4 GHz a 5 GHz Kde mj. stojí ... Případné rušení řeší fyzické a právnické osoby vzájemnou dohodou. Nedohodnou-li se, postupuje se podle § 100 zákona, případně zastaví provoz ten uživatel, který uvedl do provozu stanici způsobující rušení později; ... Zdroj: ČTÚ

Hrozby a rizika které přináší WiFi pokr. Jaké typy útoků nám hrozí? Útok na první vrstvu OSI/ISO modelu WiFi je založená na mechanizmu CDMA/CA, který umožňuje vysílání pouze jedinému zdroji v daný čas Součástí CDMA/CA je tzv. CCA (clear channel assesment), který zajistí, že rádio nejdříve poslouchá a poté vysílá Úmyslné útoky DoS útok – použití širokopásmové rušičky DoS útok – použití „standardní“ 802.11 karty (Queensland attack) Neúmyslné útoky Prakticky jakékoli zdroje interferencí (mikrovlnné trouby, Bezdrátové kamerové systémy, bezdrátotové telefony, BT zařízení, jiné průmyslově vyráběné zařízení)

Hrozby a rizika které přináší WiFi pokr. Jaké typy útoků nám hrozí? De-autentizace/De-asociace management rámců (DoS) Rekognoskace WiFi sítě – odposlouchávání a scanování Aktivní De-auth útok k navození sondování klientů (probing) a usnadnění odhalení skrytého SSID Útoky využívající zranitelnosti (slovníkové útoky, Man-in-the-middle, zranitelnost WEP) Address spoofing útok (MAC a IP address spoofing) Nepřátelské AP (nejsou námi spravované, mohou vytvářet „honeypot“ tedy zdánlivě stejné SSID)

Agenda Úvod do bezdrátových sítí Vybrané základní pojmy v oblasti WiFi Hrozby a rizika které přináší WiFi Pravidla a mechanizmy zabezpečení WiFi sítě Architektura WiFi založená na platformě Cisco Koncept návrhu WiFi sítě Diskuse

Pravidla a mechanizmy zabezpečení WiFi sítě Vytvoření a dodržování WLAN bezpečnostních pravidel Zabezpečení WLAN Modifikace default SSID Ověřování klientů (802.1x, AAA, apod.) Použití standardů WPA nebo WPA2 Pro specifická zařízení lze kombinovat WEP se seznamem MAC adres Ověřování uživatelů a oddělení různých typů uživatelů do VLAN Preference „lehkých“ přístupových bodů (nemají lokálně uloženy bezpečnostní informace)

Pravidla a mechanizmy zabezpečení WiFi sítě pokr. Fyzické skrytí nebo znepřístupnění k AP Monitorování okolí budov na podezřelé aktivity Zabezpečení „drátové“ sítě proti útokům z WLAN Nasazení bezdrátové IPS k prevenci „nepřátelských“ přístupových bodů a klientů Permanentně odstraňovat neautorizované cizí AP Ochrana proti externím útokům Vybavit mobilní zařízení podobnými bezpečnostními službami, jako podniková síť, tedy firewall, VPN, antivirus, … Vynucení bezpečnostních pravidel ověřováním identity a kvality klientů Poučení uživatelů o ochraně sítě

Pravidla a mechanizmy zabezpečení WiFi sítě pokr. Příklady nástrojů Kismet, AirCrack, WEPcrack coWPAtty NetStumbler, HotSpotter, AirSnort OmniPeek, Wireshark Nmap, dsniff ...

Agenda Úvod do bezdrátových sítí Vybrané základní pojmy v oblasti WiFi Hrozby a rizika které přináší WiFi Pravidla a mechanizmy zabezpečení WiFi sítě Architektura WiFi založená na platformě Cisco Koncept návrhu WiFi sítě Diskuse

Architektura založená na platformě Cisco Základní požadavky bezpečné WiFi sítě jsou Ochrana vlastní WiFi infrastruktury (MFP, IPS) Ocharana spojení mezi WiFi infrastrukturou a klienty Šifrování a autentizace Využití robustního autentizačního systému (802.1x) Použití vhodného mechanizmu pro autentizaci (EAP-TLS, PEAP...) Použití vhodného algoritmu šifrování (WPA reps. WPA2) Ochrana klientů před škodlivým kódem Využití sytému NAC Dynamické odstraňování potenciálních útočníků (client shunning)

Architektura založená na platformě Cisco Řešení založené na platformě Cisco poskytuje Robustní bezpečnostní standardy a implementace 802.1x/EAP, 802.11i/WPA/WPA2 Management frame protection (MFP) IDS/IPS vlastnosti na centrálním kotroleru WiFi CCX program, Cisco Secure Services Client (CSSC) Integrace s Cisco NAC Integrace Firewallu Využití portfolia produktů z rodiny Cisco ASA nebo servisního modulu FWSM Integrace s IPS Integrace IPS a kontroleru Integrace s CSA Ochrana koncové stanice

Architektura založená na platformě Cisco Klíčové komponenty Wireless LAN Controller – WLC (desktop, rack, servisní modul) Lightweight Access point (indoor, outdoor, typ antény...) Wireless Controll System – WCS (standalone, cluster) Cisco Secure ACS (TACACS+,RADIUS, interní a ext. uživ. DB) Prvky vyšší bezpečnosti Cisco Firewall Cisco NAC Cisco IDS/IPS Cisco Security Agent - CSA

Architektura založená na platformě Cisco Architektrura „lehkých“ access pointů

Architektura založená na platformě Cisco Architektrura „lehkých“ access pointů Pro komunikaci se používá protokol LWAP protokol (Light Weight Access Point) AP nemají žádnou konfiguraci Komunikace probíhá po stanovených UDP portech Šiforvaná komunikace mezi WLC a AP Klientská data nejsou šifrována (v LWAP) Oddělení uživatelského provozu od řídícího Možnost segementace uživatelů prostřednictvím LWAP či EoIP tunelů CAPWAP vylepšení Control and Provisioning of Access points (CAPWAP) vychází z LWAP Předpokládá se schválení jako IETF standardu Umožnuje šifrování i uživatelských dat

Architektura založená na platformě Cisco Příklad základní architektury a využití LWAP a EoIP tunelů

Architektura založená na platformě Cisco

Agenda Úvod do bezdrátových sítí Vybrané základní pojmy v oblasti WiFi Hrozby a rizika které přináší WiFi Pravidla a mechanizmy zabezpečení WiFi sítě Architektura WiFi založená na platformě Cisco Koncept návrhu WiFi sítě Diskuse

Koncept návrhu bezdrátové sítě Vytvoření politiky která definuje Přístup k síti a k poskytovaným službám Šifrování dat Zajištění autentizace a šifrování pro klienty Stanovení autentizačních mechanizmů pro jednotlivé typy klientů (data, hlas, video, atd.) Stanovení šifrovacích algoritmů Připravenost čelit a zmírňovat bezpečnostní hrozby Nepřátelské AP, rušičky a zdroje rušení Endpoint security MFP

Koncept návrhu bezdrátové sítě pokr. V oblasti RF spektra... Provedení Site Survey Využívání RRM – Radio Resource Managementu Využití Spectrum Intelligence pro monitorování a řešení problému v RF spektru Proaktivní monitoring WiFi síť je provozovaná ve velmi dynamickém prostředí Monitorování a vyhodnocování událostí Sledování a vyhodnocování trendů Proškolení personálu a poučení uživatelů

Koncept návrhu bezdrátové sítě pokr. Přípravná fáze Plánovaní poskytovaných služeb WiFi sítě (data, hlas, video, lokalizační služby...) Plánování pokrytí signálem (Site Survey) Segmentace úrovně zabezpečení (interní uživatelé, návštěvy, konference...) Stanovení jednotlivých standardů zabezpečení a jejich verifikace Koncept integrace do LAN

Koncept návrhu bezdrátové sítě pokr. Designová fáze Detailní návrh infrastruktury Topologie Umístění jednotlivých AP Adresní plány Detailní návrh koncepce zabezpečení (802.1x,EAP, AAA ...) Návrh VLAN, DMZ, Roamingu Návrh managementu a správy

Koncept návrhu bezdrátové sítě pokr. Implementační fáze Realizace pilotního projektu a ověření stanovených standardů Realizace a nasazení WiFi infrastruktury po jednotlivých budovách-prostorech Verifikace pokrytí signálu a dostupnosti služeb Provozní fáze Proaktivní monitoring Vyhodnocení trendů Provozní úpravy kanalů a vysílacích výkonů (pokud není automatický režim dostačující.)

Agenda Úvod do bezdrátových sítí Vybrané základní pojmy v oblasti WiFi Hrozby a rizika které přináší WiFi Pravidla a mechanizmy zabezpečení WiFi sítě Architektura WiFi založená na platformě Cisco Koncept návrhu WiFi sítě Diskuse

Milan Šimčík, IT specialista milan_simcik@cz.ibm.com Děkuji za pozornost!!! Milan Šimčík, IT specialista milan_simcik@cz.ibm.com